当前,愈演愈烈的网络攻击已经成为国家安全的新挑战,互联网、物联网、工业互联网的快速发展,让关键信息基础设施时时刻刻受到来自网络攻击的威胁,真实世界和网络世界的界限越来越小,以前电影里所描绘的对能源、交通等重要系统的攻击,现在已逐步成为现实。“大安全时代”已然来临。
网络安全的态势之严峻,迫切需要我们在网络安全领域具备能打硬仗的能力。网络安全对抗的关键是人的对抗,除了加紧专业人才的培养,加强我国网络安全的整体能力更是时不我待。
互联网空间貌似和平已久,但战争从未远离。伴随国际上争夺网络空间控制权成战略制高点趋势,高危漏洞、高级持续性威胁攻击越发频繁。国家、政府、企业如何有效防护网络空间安全不被侵犯,安全之路如何行稳致远,成重要课题。
为此,ISC平台特别企划了一场“安全运营,我来护航——数字化时代下的安全运营”主题活动,力邀行业专家、学者,围绕实网攻防、安全运营话题进行精彩分享,希望为我国广大政企单位的实战化安全建设提供参考。
什么是网络安全演练?
网络安全应急响应和一般意义上的突发公共事件应急响应一样,也需要对制定的应急响应方案“勤加演练”,以巩固能力、磨炼意志、锻炼队伍。网络攻击等紧急事件的发生,往往会扰乱正常的网络秩序、影响网络办公系统的正常运行,使网络安全受到威胁,造成如网络瘫痪、数据被窃取或丢失甚至更严重的损失。因此,在应急响应预案制定以后,有组织有规划地进行模拟演练具有至关重要的作用。只有经过网络安全应急预案的扎实培训与演练,才能在遇到网络突发事件时及时有效响应事件、切实履行应急响应预案内容、准确给出应急处理方法,将危害降到最低。
随着近年网络安全事件的频发,企业应该提高认知,做好准备,建设更有针对性的预防、检测和应对机制,以减轻网络安全事件的负面影响。而规划合理的网络安全演练,有助于帮助企业了解自身的安全水位和应急响应能力。为了制定合理的演练方案,首先,应当对网络安全演练的定义和分类具备基本的了解,选择适用于企业的演练类型和场景。
网络安全演练的定义
网络安全演练通过模拟现实的网络安全事件,测试参与者、参与组织的沟通响应能力、决策技巧、灾难恢复方法等。网络安全演练包含多个阶段,持续数小时或数天,可能包含一个或多个场景,包括系统中断或故障、网络钓鱼、数据丢失或泄露、恶意软件感染等。
网络安全演练的类型
网络安全演练有多种类型,在演练方式、人员安排、资源规划、涉及范围等方面存在差异。其中,有三类较为常见的演练类型:
(1)桌面演练:
围绕演练场景和应急预案,以口头或书面形式进行讨论,评估参与者对应急场景的响应能力,并审查参与者的角色和责任分配是否适当。桌面演练耗费资源相对较少,但桌面演练一般针对于应急响应及内部协调沟通的模拟,适用面相对较窄,无法全面真实地进行全方位的演练。
(2)模拟演练:
模拟真实事件场景,参与者及参与部门进行跨职能的应急演习,完成真实的应急响应过程,并关注后续发展。演练目的是了解资源分配、职能划分是否恰当,以及了解应急决策的长远影响。
(3)对抗演练:
一类实战演练,参与演练者分成两队,红队扮演攻击者的角色,蓝队则对攻击和威胁进行防御。其目的是使攻击和响应尽量逼真,以测试蓝队应对攻击的及时性、有效性等。
为什么要进行实战演习?
不同类型的企业选择演练场景、设计演练方案时,应基于自身的风险偏好进行调整,以确保演练效率。通常,通过网络安全演练可达到以下目的:
(1)验证应对安全事件的防御能力
通过风险场景识别、安全防御、应急响应、业务恢复等步骤,检验企业应对网络安全事件的能力;
(2)提升企业及员工安全意识
通过为应急领导层和利益相关者提供应急响应演练的培训,熟悉沟通和汇报路径,提升组织内的网络安全意识,为真实的安全防御和应急工作做准备;
(3)为业务持续稳定运营提供证明
记录演练的过程,作为企业弹性运营的证明,以满足监管或合规要求,同时可以反映企业应急响应的敏捷性、应急决策的有效性,以及业务持续运营的能力;
(4)为后续安全工作部署提供参考
记录演练中的失误、故障、操作不当等突发情况,识别当前的应急规划与实际需求存在的差距,以确认后续安全工作部署的重点和优先项,进行持续的追踪和改进。
网络安全演练的价值
演练为组织提供了一种行之有效的安全评估方法。在演练中,通过对具体响应过程的观察、记录、反馈和追踪,可实现以下价值:
一、明确应急响应的工作安排和责任划分,确保参与者了解自己在应对各类安全威胁事件和应急响应、业务恢复等工作中需要担当的角色;
二、提高参与者对组织所面临的安全威胁场景及种类的认知,以更好地执行风险场景识别和风险评估;
三、提高组织内各部门及相关责任人对网络安全事件的重视程度,聚焦安全事件,更加关注网络安全工作建设;
四、演练过程中的实践经验及暴露出来的短板,可作为后续决策的参考,从而合理规划场地、IT设备、人员、数据等资源。
网络安全演习在考什么?
在一场攻防演习中,重要的是在考验企业“安全事件处置闭环能力”和“安全能力综合建设”两大方面。
第一方面:安全事件处置闭环能力
研判能力: 是否第一时间为事件定性,预判攻击可能影响的范围,隶属哪个部门管,责任人是谁,以及要按哪个预案去处理。值得注意的是,分析研判是整个事件处置的中枢,影响后续处置的一系列动作。
处置能力: 首先要先“止血”,以免事件进一步扩散;其次要采用合理的遏制手段;最后要保证受影响业务系统恢复正常,不影响正常业务的开展。处置能力整个环节应围绕着遏制、处置和恢复业务,避免走弯路走远路。
通报能力: 将此次安全事件中的重要环节通报给上级单位或同级部门,避免相同的事件二次影响。
协同能力: 安全事件的处置需要多方职责多方力量共同协作,分工也会有所不同,顺畅的协同会让安全工作更加有序、高效,协同工作需要哪些方面的力量参与协同,内部还是外部都直接影响最后的结果。
溯源能力: 只要能获取到关键信息,并能关联出画像和完整的攻击链条那就是好溯源。值得注意的是,溯源是需要从事件一开始就要准备的。
第二方面:安全能力综合建设方面
组网安全: 包括互联网暴露面是否有效收窄,vpn、app、微信公众号、第三方供应链是否存在接口及联络等,网络边界是否有效隔离,以及是逻辑隔离还是强隔离。
安全产品有效性: 包括安全产品部署位置是否合理,有没有发挥应有的作用。如果没有,那是什么原因,是策略原因、规则配置还是攻击场景问题。
情报获取与共享能力: 包括获取情报能力,具体为情报获取的时效性、准确性、更新频率;而在共享能力上,能不能做到“触点即达到面”的感知能力。
漏洞整改: 主要是漏洞识别能力和整改能力,首先区分是技术类还是管理类漏洞。如果是技术类,可以考虑根据业务需要,采用变相整改的方式;如果是管理类漏洞,可以考虑从规范制度流程,人员安全培训等方面入手。
纵深防御: 包括合理的安全域划分,数据链路层的隔离、端口和协议上的过滤、应用和组件安全等有效纵深防御手段。
运营能力: 攻防演习更考验运营能力,有没有事件分级和相对的预案,有没有用更低的成本完成高效的处置,以及将纸面上的制度、流程落实到实际运营工作中去,这些都非常值得关注。
一场演习能收获到什么?
快速持续的迭代防御体系。每个企业或建设个体的安全建设都需要与时俱进,尤其随着网络安全技术的发展,实时掌握自身安全建设的实际情况,找到木桶效应中的短板并加以改进,完善制度流程并落实到实际工作当中变得至关重要。对于收获点,陈卓老师将其归纳为如下几点:
- 通过攻防演习对抗促进安全体系的敏捷改进
- 发现和培养网络安全人才,提升技能水平
- 完善知识沉淀和共享机制
- 锻炼面对网络攻击的指挥调度能力
- 最终将演习期间的能力转化为日常能力
知识从实战对抗中来,到日常运营中去。安全攻防知识代表能力的沉淀,只有从对抗积累实战经验用到日常运营中去,才能发挥实网攻防演习的最大作用。
德迅云安全信息安全对抗演习服务
德迅云安全具有浓厚的“白帽子黑客”氛围,提出了“未知攻、焉知防”的安全理念,这同样也是对抗演习的核心思想,以攻促防,用实践来检验用户公司安全水平的高低,提升安全人员的安全技能和防护水平。
安全大事件
黑客利用漏洞入侵系统对企业造成巨大损失
提高企业安全水平
针对提高企业员工安全意识和安全团队技术能力。
促进交流学习
促进政府、央企及企业的信息安全团队的交流、学习,发现系统薄弱点。
红队服务综述
仿真环境搭建(CSE)
仿制实际业务环境或按照要求定制仿真业务环境或系统。
应急策略制定(ERR)
与相关部门人员制定应急策略,并规范工作流程。
风险检测(RCM)
对被攻击环境进行风险评估、检测与监测。
日志威胁分析(LTA)
在对抗演习期间,对网络、安全设备、主机、中间件等系统日志进行综合安全分析。
蓝队服务综述
可控无限渗透测试(IPT)
在风险可控的范围下,对组织(而非某个限定信息资产)进行技术渗透测试,以攻击进入组织内部、内网,获取敏感数据或某个制定目标为目的。
内网漫游(IRT)
成功进入组织内部或内网后,进行内网整体漫游,以获取最多、最高权限、最敏感数据或某个制定目标为目的。
物理攻击尝试(PAT)
使用物理手段,例如通过门禁弱点、WIFI缺陷、办公场所弱点、人员意识缺陷等,尝试进行攻击并获取敏感数据。
社交攻击尝试(SAT)
使用社交手段,例如电话、微信、企业QQ、人肉搜索、社工库等方式进行社会工程学攻击尝试,同时获取敏感信息或数据。
服务优势
服务全面性
- 对抗演习服务将全方位挖掘用户企业技术层面和管理层面的问题。例如:系统漏洞、应急协调、技术措施、人员安全意识等问题。
流程规范性
- 对抗演习通过三个阶段为用户企业提供深入的演习服务,逐步制定和完善演练策划、组织实施、演练总结的过程。
演练真实性
- 对抗演习服务通过模拟黑客真实攻击对用户系统进行全面、深入的检测,能够真实反应用户系统存在的问题。
秉承攻防理念
- 安全团队秉承“未知攻,焉知防”的安全理念,以“攻击者”视角为用户提供动态的、可持续的、快速响应的安全服务。
丰富实战经验
- 德迅云安全拥有众多资深安全专家,具备国内一流技术水平,曾多次为国家大型活动提供安全保障服务,历年防护,无一失手,获得多次国家部委公开致谢。
结语
总之,网络安全演练中的模拟攻防对抗是提升组织安全能力的重要手段。通过模拟真实的攻击行为,组织可以发现安全漏洞,提高安全防护能力,并锻炼应急响应和协作能力。然而,演练的有效性需要建立在真实场景、全面覆盖攻防技术和员工培训的基础上,并要进行评估和总结以不断改进。只有不断加强网络安全意识和能力,组织才能更好地保护自身的数据和资产,应对不断变化的网络威胁。
